MS03-031: Kumulativní oprava zabezpečení pro SQL Server

Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Souhrn
Společnost Microsoft vydala opravu zabezpečení, která řeší chyby v následujících produktech:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000, 64bitová verze
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Tato oprava zabezpečení odstraňuje následující chyby:
  • Napadení pojmenovaného kanálu
    Po spuštění serveru SQL je vytvořen konkrétní pojmenovaný kanál, pomocí kterého server naslouchá příchozím připojením. Pojmenovaný kanál je přesně nazvaný jednosměrný nebo obousměrný kanál určený ke komunikaci mezi kanálovým serverem a jedním nebo více klientskými počítači. SQL Server zkontroluje pojmenovaný kanál a ověří, která připojení se mohou přihlašovat k systému, ve kterém je SQL Server spuštěn, a zadávat dotazy na data uložená na serveru.

    Metoda ověřování pojmenovaného kanálu obsahuje chybu, která může dovolit útočníkovi, pokud vlastní místní účet v systému, ve kterém je SQL Server spuštěn, napadnout tento pojmenovaný kanál (převzít nad ním kontrolu) v okamžiku, kdy se k němu přihlašuje jiný uživatel pomocí ověřeného přihlášení. To by útočníkovi umožnilo získat kontrolu nad pojmenovaným kanálem se stejnou úrovní oprávnění, která přísluší uživateli, který se připojuje. Pokud má uživatel, který se pokouší o vzdálený přístup, vyšší úroveň oprávnění než útočník, může útočník tato oprávnění převzít a pojmenovaný kanál ohrozit.
  • Odmítnutí služby pojmenovaného kanálu
    Pokud neověřený uživatel použije u pojmenovaného kanálu stejný scénář, jaký byl popsán v odstavci Napadení pojmenovaného kanálu v tomto článku, a pokud vlastní místní účet v síti intranet, může odeslat rozsáhlý paket na příslušný pojmenovaný kanál, na kterém SQL Server naslouchá, a způsobit tím, že server přestane odpovídat.

    Tato chyba nedovoluje útočníkovi spustit libovolný kód ani zvýšit úroveň oprávnění. Stav odmítnutí služby však může vynutit restartování serveru, aby došlo k plnému obnovení jeho funkcí.
  • Přetečení vyrovnávací paměti serveru SQL Server
    Určitá funkce systému Windows obsahuje chybu, která by mohla ověřenému uživateli s přímým přístupem k přihlášení do systému se serverem SQL Server umožnit sestavení speciálně vytvořeného paketu, který po odeslání na naslouchající port místního volání procedur (LPC) v systému může způsobit přetečení vyrovnávací paměti. Pokud by se chybu podařilo zneužít, mohl by uživatel s omezenými oprávněními k systému zvýšit svá oprávnění na úroveň účtu služby SQL Server nebo způsobit spuštění libovolného kódu.
Další informace
Další informace o těchto chybách a způsobu získání oprav naleznete v následujících článcích znalostní báze Microsoft Knowledge Base (podle používané verze serveru SQL Server):

SQL Server 2000 Service Pack 3 (SP3) nebo Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

.
821277 MS03-031: Oprava zabezpečení pro SQL Server 2000 Service Pack 3

Důležité poznámky:

Přečtěte si následující důležité poznámky o instalaci této opravy zabezpečení v počítači, ve kterém je spuštěna aktualizace SQL Server 2000 SP3.
Služba UDDI (Universal Description, Discovery, and Integration)
Pokud nainstalujete tuto opravu zabezpečení do počítače se systémem Microsoft Windows Server 2003 a nainstalovanou službou UDDI, je třeba restartovat službu UDDI provedením jedné z následujících dvou akcí (v závislosti na konfiguraci). Dokud tak neučiníte, nebude služba UDDI správně fungovat.
  • Pokud není v počítači se systémem Windows Server 2003 používána žádná jiná webová služba, můžete restartovat službu UDDI restartováním Internetové informační služby (IIS). Restartování služby IIS odpovídá zastavení a opětovnému spuštění této služby, je však provedeno jedním příkazem. Službu IIS lze restartovat dvěma způsoby:
    • pomocí grafického uživatelského rozhraní Správce služby IIS,
    • pomocí nástroje příkazového řádku IISReset.
  • Pokud v počítači se systémem Windows Server 2003 používáte další webové služby, nebudete pravděpodobně chtít ovlivnit jejich činnost. Službu UDDI restartujete následujícím způsobem:
    1. Spusťte nástroj Správce služby IIS.
    2. Vyhledejte složku Fondy aplikací a pravým tlačítkem myši klepněte na ikonu MSUDDIAppPool.
    3. V místní nabídce klepněte na příkaz Recyklovat. Činnost služby UDDI tím bude obnovena, nedojde ale k ovlivnění dalších webových služeb v počítači.
Po připojení k počítači se systémem Microsoft Windows NT 4.0 pomocí pojmenovaných kanálů se zobrazí chybová zpráva
Pokud se připojíte k počítači se systémem Windows NT 4.0 a serverem Microsoft SQL Server 2000 pomocí pojmenovaných kanálů a s jiným účtem než je účet správce, může se zobrazit chybová zpráva podobná některé z následujících zpráv:
Zpráva 1
Připojení nelze vytvořit. SQL Server neexistuje.
Zpráva 2
Připojení nelze vytvořit. Přístup byl odepřen.
Informace o získání opravy hotfix, která řeší tuto chybovou zprávu, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823492 Při připojení k počítači se systémem Windows NT 4.0 a serverem SQL Server 2000 nebo SQL Server 7.0 se zobrazí chybová zpráva Připojení nelze vytvořit (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

SQL Server 2000, 64bitová verze

821280 MS03-031: Oprava zabezpečení pro SQL Server 2000 64-bit

SQL Server 7.0 Service Pack 4 (SP4) nebo Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Oprava zabezpečení pro SQL Server 7.0 Service Pack 4

Důležité poznámky:

Přečtěte si následující důležité poznámky o instalaci této opravy zabezpečení v počítači, ve kterém je spuštěna aktualizace SQL Server 7.0 Service Pack 4 (SP4).
Po připojení k počítači se systémem Microsoft Windows NT 4.0 pomocí pojmenovaných kanálů se zobrazí chybová zpráva
Pokud se připojíte k počítači se systémem Windows NT 4.0 a serverem Microsoft SQL Server 2000 pomocí pojmenovaných kanálů a s jiným účtem než je účet správce, může se zobrazit chybová zpráva podobná některé z následujících zpráv:
Zpráva 1
Připojení nelze vytvořit. SQL Server neexistuje.
Zpráva 2
Připojení nelze vytvořit. Přístup byl odepřen.
Informace o získání opravy hotfix, která řeší tuto chybovou zprávu, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823492 Při připojení k počítači se systémem Windows NT 4.0 a serverem SQL Server 2000 nebo SQL Server 7.0 se zobrazí chybová zpráva Připojení nelze vytvořit (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
oprava zabezpečení
Vlastnosti

ID článku: 815495 - Poslední kontrola: 12/08/2015 02:09:41 - Revize: 2.2

Microsoft SQL Server 2000 64-bit Edition, Microsoft SQL Server 2000 Service Pack 3, Microsoft SQL Server 2000 Service Pack 3a, Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3, Microsoft Data Engine 1.0, Microsoft Data Engine 1.0

  • kbnosurvey kbarchive kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
Váš názor